HONDA LABO

本田研究室

Intuneのセキュリティベースラインを利用してみる

f:id:suguruosako:20211209165923p:plain

今回は、Intuneで利用できるセキュリティ関連の設定群である「セキュリティベースライン」についてみていきます。

 

はじめに

Intuneのセキュリティベースラインは、マイクロソフトが推奨するセキュリティの設定群です。これを利用することで、クライアント環境に対してお手軽にセキュリティ関連の設定を適用することができます。

ベースラインには、

  • Windows10 セキュリティベースライン
  • Microsoft Defender for Endpointベースライン
  • Microsoft Edgeベースライン
  • Windows 365 セキュリティ ベースライン

の4つがあります。

設定内容はそれぞれ名前通りで、Windows10セキュリティベースラインは、Windows10全体のセキュリティ設定群。Microsoft Defender for Endpointベースラインは、Microsoft Defender for Endpoint関連の設定群。Microsoft Edgeベースラインは、Edge関連のセキュリティ設定群。Windows 365 セキュリティ ベースラインはWindows365関連のセキュリティ設定群です。

このうち、Windows 365 セキュリティ ベースラインは現時点でプレビューとなっており、運用環境で使うことは推奨されていません。(プレビュー版ベースラインの設定は、プレビューの過程で変更される可能性があります) 

Microsoft Intune でのセキュリティ ベースラインに関する詳細 | Microsoft Docs

運用中の環境でいきなり有効にするのは業務影響のリスクがありますが、これから本番運用を迎える環境であればあらかじめセキュリティベースラインを有効化しておくのがセキュアだと思います。パイロットユーザーに使ってもらうなかで、設定を見直していくと良いでしょう。

 

設定手順

Microsoft Endpoint Manager管理センターにログインし、エンドポイントセキュリティ、セキュリティのベースラインの順にクリックします。さらに利用したいセキュリティベースラインをクリックします。ここでは「Windows10 以降のセキュリティベースライン」をクリックします。

f:id:suguruosako:20211129221811p:plain

プロファイルの作成をクリックします。

f:id:suguruosako:20211129221828p:plain

プロファイルの名前を入力して次へをクリックします。

f:id:suguruosako:20211129221835p:plain

実際の設定値が表示されます。中身を見てみて、どのような設定がされるかを見ておくと良いと思います。特に変更したい設定がなければ、そのまま次へをクリックします。

f:id:suguruosako:20211129221843p:plain

スコープタグは今回は設定しません。次へをクリックします。

f:id:suguruosako:20211129221851p:plain

プロファイルの割り当てを行います。ここでは簡単のために、すべてのデバイスを追加することにしました。次へをクリックします。

f:id:suguruosako:20211129221902p:plain

設定のレビュー画面が表示されます。問題なければ、そのまま作成をクリックします。

f:id:suguruosako:20211129221929p:plain

以上で設定は完了です。

f:id:suguruosako:20211129221937p:plain

その他のセキュリティベースライン設定も同様の流れで利用することが可能です。

 

CISベンチマークについて

よくあるセキュリティ関連の設定群として「CISベンチマーク」があげられます。これは米国のCIS(Center For Internet Security)という"サイバー防衛のためのベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" ことを使命とする非営利団体ですが公開しているガイドラインです。

Windowsに限らず、さまざまな製品に関するドキュメントが公開されています。セキュリティ関連の設定をどうするか検討するうえで参考にすることができると思います。

CISベンチマークは、設定をレベル1、レベル2という2種類に分類していますが、これに関する説明は、Microsoftのサイトがわかりやすいです。

CIS ベンチマークは、2 つのレベルのセキュリティ設定を提供します。

  • レベル 1 では、あらゆるシステムで構成でき、サービスの中断や機能の低下をほとんど、またはまったく引き起こさない、不可欠となる基本セキュリティ要件を推奨しています。
  • レベル 2 では、機能の低下を引き起こす可能性のある、より高度なセキュリティを必要とする環境向けのセキュリティ設定を推奨しています。

Center for Internet Security (CIS) ベンチマーク - Microsoft Compliance | Microsoft Docs

このCISベンチマークとセキュリティベースラインの関係ですが、ちょっと良くわかりませんでした。上記のURLを見ると、関係していそうな気もします。

 

参照ドキュメント

Microsoft Intune でのセキュリティ ベースラインに関する詳細 | Microsoft Docs

CIS Benchmarks

Center for Internet Security (CIS) ベンチマーク - Microsoft Compliance | Microsoft Docs

ひと目でわかるIntune 改訂新版